El troyano Qbot roba datos mediante el secuestro de conversaciones de email

Check Point Software Technologies alerta de la aparición de una nueva versión del troyano Qbot, que se está extendiendo rápidamente, afectando tanto a empresas, como a usuarios. Identificado por primera vez en el año 2008, la función principal de este troyano consiste en recoger datos de navegación e información de carácter económico, incluidos los datos bancarios online. Qbot ha evolucionado para convertirse en una versión altamente estructurada y de múltiples capas, ampliando sus capacidades.

Los investigadores de Check Point descubrieron varias campañas que usaban la nueva cepa de Qbot entre marzo y agosto de 2020. En una de las campañas, Qbot estaba siendo distribuido por el troyano Emotet, lo que llevó a los investigadores de Check Point a creer que Qbot usaba nuevas técnicas de distribución de malware, así como una renovada infraestructura de comando y control. Esta campaña de distribución de Emotet tuvo un impacto en el 5% de las empresas de todo el mundo en julio de 2020.

De acuerdo con los investigadores, este troyano es capaz de robar información de los equipos infectados, incluyendo contraseñas, correos electrónicos, números de tarjetas de crédito y más; instalar otros programas maliciosos en los ordenadores infectados, incluyendo programas ransomware; conectarse al ordenador de la víctima (incluso cuando la víctima está conectada) para realizar transacciones bancarias desde su dirección IP; y secuestrar los correos electrónicos de los usuarios desde su cliente de Outlook y usar esos correos para intentar infectar los PCs de otros usuarios.

La cadena de infección inicial comienza con el envío de correos electrónicos especialmente elaborados para las empresas o individuos objetivo. Cada uno de los correos electrónicos contiene una URL de un ZIP con un archivo Visual Basic Script (VBS) malicioso, que contiene código que puede ser ejecutado dentro de Windows. Una vez que un equipo se infecta, Qbot activa un "módulo colector de correo electrónico" especial que extrae todos los hilos de correo electrónico del Outlook de la víctima, y los sube a un servidor remoto de código duro. Estos correos electrónicos robados se utilizan más tarde para futuras campañas de malware, facilitando que los usuarios sean engañados para que hagan clic en los archivos adjuntos infectados, ya que el correo electrónico de spam parece proseguir con una conversación de correo electrónico legítima ya existente.

Los investigadores de Check Point han observado diferentes ejemplos de hilos de correo electrónico dirigidos y secuestrados con temas relacionados con Covid-19, recordatorios de pagar impuestos y contrataciones de trabajo.

Yaniv Balmas, jefe de Investigación de Check Point, señala que “los actores de amenazas detrás de Qbot están invirtiendo fuertemente en su desarrollo para permitir el robo de datos a gran escala de empresas y particulares. Hemos sido testigos de campañas activas de malspam que distribuyen Qbot directamente, así como del uso de infraestructuras de infección de terceros como la de Emotet para propagar aún más la amenaza. Recomendamos seriamente a las personas que vigilen sus correos electrónicos de cerca para detectar signos que indiquen un intento de phishing, incluso cuando el correo electrónico parezca provenir de una fuente de confianza".